私たちは危険でいっぱいなインターネットに対してサービスの公開を行っており、サービスの利用者が悪意ある他者に襲われないようにする責任を当然持っています。セキュリティには十分気をつけて開発していますが、かけられるリソースの限界から、万全な脆弱性検証は行えておりません。そこで私たちは、外部のセキュリティ研究者による指摘を歓迎しています。

受け付けるレポートは、以下を対象とするものです

• SweetPotato(API)
• SweetPotato(Web)
• 各プロジェクト
  • ソースコード
  • CI/CD
  • docker-compose.yaml
  • Dockerコンテナ

下記を対象とするレポートは、受け付けません

• Sonolus(アプリ本体)
  • アプリ開発者はこのコミュニティに所属しておりません。
  • 別途Discord等からご連絡ください。
• 依存するライブラリの問題
  • 気持ちはわかりますが、ライブラリの開発者にご連絡ください。
• DDos/総当り/ソーシャルエンジニアリング
  • 絶対にやめてください。

下記の条件を満たす限り、セキュリティ研究者のセーフハーバーを約束します

• 善意の心を持って調査にあたってください
• 可能な限りプライバシー侵害、データの破壊、サービスの中断を避けてください
  • 所有しているアカウント、または利用の同意を得たアカウントを対象に実行してください
  • 万が一個人情報が取得できてしまった場合 取得できたデータを速やかに破棄してください

他者になりすましログインができてしまう、サイトにXSSを埋め込み実行できてしまう、他者のメールアドレスが取得できてしまう等の重大なリスクを発見した場合は、絶対にGithubのリポジトリにIssueを立てず、メールまたはDiscordにてご連絡ください。

• 再現可能な手順と 発生しうる影響をできる限り丁寧に記述してください
• 脆弱性はどれだけ似ていたとしても 1レポートにつき1つずつ送信してください

下記いずれかの方法でご連絡ください

• Discord/お窓(CraX#9321)
• Mail/お窓
• Github Issue(リスクが低い問題の場合)

有用なレポートを提供してくださった方は 対象となるリポジトリの原則トップにて、偉業を称えます。